Tôi vừa mới đọc xong một trong những câu chuyện hack dữ dội nhất trong lịch sử internet, và thành thật mà nói, nó còn điên rồ hơn nhiều so với phần lớn mọi người nhận thức được. Đó không phải là một cuộc tấn công mạng tinh vi từ một quốc gia nào đó. Nó thậm chí còn không phải là một nhóm hacker chuyên nghiệp. Thật ra, chỉ là một thiếu niên nghèo ở Florida với một chiếc laptop, một chiếc điện thoại, và một mức độ liều lĩnh gần như khó tin.

Vì vậy, đây là câu chuyện về Graham Ivan Clark — người đã cơ bản chiếm quyền kiểm soát Twitter vào năm 2020. Hầu hết mọi người nghĩ rằng cậu ta là một coder tinh nhuệ, đột nhập vào các máy chủ. Không. Cậu ta đã hack một thứ còn quý giá hơn: bản chất con người.

Hãy để tôi vẽ bức tranh. Ngày 15 tháng 7 năm 2020. Internet bỗng chốc trở nên hỗn loạn. Elon Musk, Obama, Bezos, Apple, Biden — tất cả các tài khoản xác thực lớn nhất trên Twitter bắt đầu đăng cùng một thông điệp: "Gửi tôi 1.000 đô la bằng BTC và tôi sẽ gửi lại bạn 2.000 đô la." Ban đầu, mọi người nghĩ đó chỉ là một trò đùa. Nhưng các tweet là thật. Twitter bị xâm phạm hoàn toàn, và hai thiếu niên kiểm soát các tiếng nói quyền lực nhất của nền tảng.

Trong vòng vài phút, hơn 110.000 đô la Bitcoin đã vào các ví do hacker kiểm soát. Trong vòng vài giờ, Twitter làm điều chưa từng có — họ khóa tất cả các tài khoản xác thực trên toàn cầu. Hệ thống xác thực toàn bộ bị tắt.

Và kẻ chủ mưu? Không phải một nhân vật bí ẩn nào đó trong một căn phòng tối. Chỉ là một cậu bé 17 tuổi.

Câu chuyện của Graham Ivan Clark thực sự khá tối tăm khi bạn đào sâu vào nó. Cậu lớn lên ở Tampa trong cảnh nghèo đói. Gia đình tan vỡ, không có tiền, không có triển vọng thực sự. Trong khi những đứa trẻ khác chỉ chơi game, cậu ta lại chạy các trò lừa đảo trong đó — làm quen với người khác, bán các vật phẩm giả trong game, lấy tiền rồi biến mất. Khi bị phát hiện, cậu ta chỉ hack các kênh YouTube để trả thù. Đến giữa tuổi teen, cậu đã gia nhập OGUsers, diễn đàn nổi tiếng nơi hacker trao đổi các tài khoản mạng xã hội bị đánh cắp.

Điều điên rồ là — cậu ta không cần biết lập trình. Cậu ta chỉ cần hiểu con người. Cậu ta dùng kỹ thuật xã hội. Quyến rũ. Ép buộc. Thuyết phục.

Đến 16 tuổi, Graham Ivan Clark đã thành thạo kỹ năng đổi SIM. Đối với những ai chưa biết, đó là việc thuyết phục nhân viên của nhà mạng chuyển số điện thoại của ai đó sang SIM của bạn. Khi có được điều đó, bạn kiểm soát email, ví crypto, tài khoản ngân hàng của họ — mọi thứ. Một trong những nạn nhân của cậu là một nhà đầu tư mạo hiểm tên Greg Bennett, tỉnh dậy và phát hiện hơn 1 triệu đô la Bitcoin đã biến mất. Hacker gửi tin nhắn: "Thanh toán hoặc chúng tôi sẽ đến nhà bạn và gia đình."

Số tiền đó khiến cậu ta trở nên liều lĩnh hơn. Cậu bắt đầu lừa đảo các cộng sự hacker của mình. Họ tiết lộ danh tính, xuất hiện tại nhà cậu. Cuộc sống offline của cậu bắt đầu rối ren — ma túy, liên kết với băng đảng, bạo lực thực sự. Một người bạn của cậu bị bắn chết trong một vụ làm ăn thất bại. Cậu ta khẳng định không liên quan và bằng cách nào đó vẫn thoát khỏi.

Đến 2019, cảnh sát đột kích căn hộ của cậu và phát hiện 400 BTC — gần 4 triệu đô la vào thời điểm đó. Cậu trả lại 1 triệu đô để giảm nhẹ. Vì còn là thiếu niên, pháp luật cho phép cậu giữ phần còn lại. Cậu đã thắng hệ thống một lần.

Sau đó, cậu quyết định nhắm tới mục tiêu lớn nhất. Trong đợt phong tỏa COVID năm 2020, nhân viên Twitter làm việc từ xa. Graham và một đồng phạm tuổi teen khác giả làm nhân viên hỗ trợ kỹ thuật nội bộ. Họ gọi điện cho nhân viên, nói rằng cần đặt lại thông tin đăng nhập, gửi các trang đăng nhập giả mạo. Hàng chục người đã mắc bẫy. Họ tiếp tục leo lên cấu trúc nội bộ của Twitter cho đến khi tìm ra một tài khoản "Chế độ Thần" — một bảng điều khiển cho phép họ đặt lại mọi mật khẩu trên toàn nền tảng.

Hai đứa trẻ. 130 trong số các tài khoản quyền lực nhất thế giới. Toàn quyền kiểm soát.

FBI bắt họ trong vòng hai tuần bằng cách sử dụng nhật ký IP, tin nhắn Discord, và dữ liệu SIM. Graham đối mặt với 30 cáo buộc hình sự và có thể ngồi tù tới 210 năm. Nhưng vì còn là thiếu niên, cậu đã thương lượng giảm xuống còn 3 năm trong trại trẻ vị thành niên cộng với 3 năm án treo. Cậu mới 17 tuổi khi hack internet. Cậu 20 tuổi khi ra tù.

Phần mà thực sự làm tôi bực mình là: Graham Ivan Clark giờ đã tự do. Cậu ấy có tiền. Cậu ấy không thể bị chạm tới. Và trong khi đó, X — trước đây là Twitter, giờ dưới quyền Elon Musk — ngày nào cũng tràn ngập các trò lừa đảo crypto. Những trò lừa đảo giống như đã làm cậu giàu có. Cách tâm lý đó vẫn còn tác động đến hàng triệu người.

Bài học thực sự ở đây không phải về kỹ thuật hack. Đó là hiểu rằng kẻ lừa đảo không cần phá hệ thống — họ phá con người. Kỹ thuật xã hội hoạt động vì nó khai thác cảm xúc: sợ hãi, tham lam, tin tưởng. Những thứ này dễ bị tổn thương hơn bất kỳ tường lửa nào.

Vì vậy, nếu bạn đang hoạt động trong lĩnh vực crypto hoặc trực tuyến, hãy nhớ: đừng tin vào sự khẩn cấp, không chia sẻ mã hoặc thông tin đăng nhập, đừng nghĩ rằng các tài khoản xác thực thực sự là chính họ, và luôn kiểm tra URL trước khi đăng nhập. Cuộc hack lớn nhất không phải về kỹ thuật — mà là về tâm lý.

Graham Ivan Clark đã chứng minh rằng bạn không cần phải phá hệ thống nếu có thể lừa gạt những người vận hành nó.